Agentic AI ya se está ejecutando en entornos de producción en muchas organizaciones en la actualidad. Realiza tareas, consume datos y toma acciones, quizás sin ninguna participación significativa de su equipo de seguridad. El debate de la industria ha enmarcado en gran medida esto como una cuestión de política: permitir, restringir o monitorear. Pero ese marco no tiene sentido.
La pregunta más apremiante es si los profesionales de la seguridad realmente entienden a qué se enfrentan. En la mayoría de las organizaciones, este no es el caso en este momento. Y esa brecha crece cada semana que pasa.
No podemos garantizar lo que no entendemos.
Los principios básicos de la seguridad de la información no han cambiado. En otras palabras, para defender de manera significativa una tecnología, es necesario comprenderla realmente con fluidez.
Piense en los cortafuegos. Si no comprende su red, no podrá configurarla correctamente. Cuando apareció la computación en la nube, las organizaciones que se saltaron los conceptos básicos se quedaron con un entorno que nunca pudieron entender, comprando herramientas y redactando políticas sobre las que no tenían ningún control real. Hoy en día, tenemos la seguridad en la nube como una disciplina propia porque la tecnología requería que los profesionales se familiarizaran profundamente con la seguridad en la nube antes de que la seguridad siguiera su ejemplo.
La misma dinámica se está produciendo en la IA, a un ritmo más rápido y con mayores riesgos.
El impacto práctico de los retrasos en la IA del agente va más allá de las cuestiones técnicas. Los equipos de seguridad que no puedan hablar el lenguaje de la ingeniería de IA (aquellos que no puedan cuestionar las decisiones de diseño, sugerir controles procesables o hacer preguntas informadas) serán ignorados. Las empresas operan sin equipos de seguridad, no por intenciones maliciosas, sino porque un equipo de seguridad que realmente no puede interactuar con la tecnología no es un socio útil en las decisiones tecnológicas. Esto ha sucedido con cada cambio tecnológico importante en los últimos 20 a 30 años. La IA no es una excepción.
El punto de partida es el compromiso. Intente crear un agente. Pruebe herramientas que los desarrolladores ya están utilizando. Esta familiaridad práctica es el comienzo de la verdadera comprensión, y la verdadera comprensión hace que todo lo demás sea posible.
Tres categorías de agentes, tres categorías de riesgos.
El panorama de la IA de los agentes es muy amplio y los perfiles de riesgo varían mucho entre sí. Vale la pena tener una comprensión clara de las tres categorías.
El primero son los agentes de productividad y codificación de uso general, herramientas como Claude Code y GitHub Copilot. Estos ya están integrados en los flujos de trabajo de desarrollo e ingeniería de toda su organización. Se utiliza esté o no homologado oficialmente. Los datos a los que puede acceder, cómo puede interactuar con su código base y qué acciones puede realizar son conocimientos básicos de seguridad actualmente.
El segundo es un agente creado por el proveedor que aprovecha el protocolo de contexto modelo (MCP). MCP es una capa de integración que permite a los agentes conectarse a servicios externos y actuar en su nombre. Casi todos los proveedores importantes tienen o están construyendo activamente servidores MCP en producción. En la práctica, esto significa que un agente que gestiona el calendario, el correo electrónico o el sistema interno de tickets de un usuario puede recibir información de estos canales y actuar en consecuencia. Las invitaciones de calendario maliciosas con instrucciones ocultas en la descripción del evento son un verdadero vector de ataque. El agente lo lee, interpreta las indicaciones integradas y las ejecuta. Esta es una superficie de ataque real que requiere una configuración y una revisión de seguridad deliberadas.
La tercera categoría son los agentes personalizados creados por usuarios individuales, y aquí es donde la dinámica es particularmente interesante. Durante años, ha existido una barrera real entre los profesionales de la seguridad que comprenden los riesgos y el código que se ejecuta en sus entornos. La mayoría de los profesionales de la seguridad no son programadores. La creación de herramientas personalizadas requería habilidades de desarrollo que no estaban ampliamente distribuidas en todo el equipo de seguridad.
Esa barrera ha desaparecido.
Agent AI permite a cualquier persona de su organización crear herramientas funcionales como automatización, flujos de trabajo y agentes que le brindan acceso a sistemas del mundo real sin escribir código tradicional. Para los equipos de seguridad, esto es realmente valioso. Los flujos de trabajo de investigación de incidentes, clasificación forense y búsqueda de amenazas pueden acelerarse si los profesionales pueden crear las herramientas que realmente necesitan. Pero la misma funcionalidad se extiende también a todos los demás equipos. Marketing, finanzas, operaciones: ahora cualquiera puede crear un agente. Mucha gente lo hará. La mayoría de estos agentes no pasan por revisiones de seguridad antes de entrar en producción. Esta es otra forma de problema en la cadena de suministro.
Tarifas por llegar tarde
Existe un patrón constante cuando los equipos de seguridad no están al día con las migraciones de tecnología clave.
Primero, el resto de la organización trabaja sin ningún tipo de intervención de seguridad. Implementado por desarrolladores, adoptado por departamentos comerciales, y la seguridad se considera solo formalmente o no se considera en absoluto. En segundo lugar, la exposición se agrava. Cuanto más poderosos agentes implemente una organización, más acceso necesitarán esos agentes. Una amplia gama de privilegios hace que los agentes sean útiles, incluido el acceso a calendarios, plataformas de comunicación, sistemas de archivos, repositorios de códigos y API internas. Este acceso también aumenta el radio de explosión si algo sale mal.
Los agentes con acceso tanto al terminal como a la bandeja de entrada de correo electrónico pueden operar por cualquiera de los canales y trabajar por el otro. Esta es la ruta de movimiento lateral que busca un atacante. Para razonar sobre esto, necesitamos entender cómo se construyó el agente. Esta comprensión sólo puede surgir de un compromiso genuino con la tecnología.
habilidades que son importantes ahora
Desarrollar capacidades de seguridad de IA basadas en agentes requiere dos capas diferentes de conocimiento.
La primera es comprender cómo se diseñan las aplicaciones de IA desde la perspectiva de un profesional y no desde la perspectiva de un científico de datos. ¿Cuáles son los componentes de una aplicación de IA? ¿Cómo consumen los agentes insumos, concatenan herramientas y producen resultados? ¿Cómo se ve realmente una sesión con un agente conectado a un MCP desde una perspectiva de control de acceso? Esta es la base que hace posible todo lo demás.
La segunda capa es la moneda. El panorama de herramientas y amenazas que rodean a la IA está cambiando rápidamente. Los proveedores están creando controles de seguridad para los sistemas de inteligencia artificial, pero la mayoría aún se encuentra en la etapa de madurez. Están surgiendo marcos de código abierto. OWASP y otros publican taxonomías de amenazas que evolucionan semanalmente. Una vez que se establece la capa fundamental, mantenerse actualizado se convierte en una disciplina continua. Eso significa que sabrá qué herramientas vale la pena evaluar, qué marcos están ganando terreno y qué preguntas hacer cuando los proveedores ofrecen soluciones.
Este segundo punto es más importante de lo que piensas. Los proveedores que venden productos de seguridad de IA ya se están acercando a los equipos de seguridad. Sin un conocimiento básico de cómo se crean estas aplicaciones, es casi imposible tener una conversación exitosa. No se puede distinguir entre un control bien diseñado y un envoltorio de marketing a menos que comprenda lo que está tratando de controlar.
Configuración como control de seguridad
Muchas implementaciones de IA de agentes conllevan riesgos. Esto no se debe a que las herramientas subyacentes estén fundamentalmente rotas, sino a que se introdujeron sin una configuración consciente de la seguridad.
Considere un asistente de IA autónomo conectado a un canal de comunicación popular similar a Telegram. Sin los controles adecuados, los agentes pueden responder a cualquiera que les envíe un mensaje. Es un punto de entrada muy abierto. Un simple cambio de configuración (emparejar al agente con una única cuenta confiable) elimina la mayor parte de ese riesgo. Tomar una decisión tempranamente puede tener importantes consecuencias para la seguridad.
El principio más amplio es el alcance. Los agentes creados para administrar calendarios no pueden acceder al dispositivo. Los agentes que procesan solicitudes entrantes no deben tener acceso de escritura al repositorio de código. Limitar el alcance del agente a su función prevista limita el radio de explosión y reduce la superficie de ataque para su explotación.
Esta tensión es real. Los agentes poderosos requieren un amplio acceso para ser útiles. Es una compensación a la que las organizaciones se resisten. Para encontrar el equilibrio adecuado, la seguridad debe intervenir en las primeras etapas del proceso de diseño, antes de que se establezca la arquitectura y antes de que ya se establezcan los permisos.
Manténgase a la vanguardia con SANSFIRE 2026
Las organizaciones que desarrollen una verdadera fluidez en seguridad de la IA estarán en condiciones de dar forma a cómo se implementan estos sistemas. Quienes llegan tarde se encuentran nuevamente aplicando controles a una arquitectura que ya estaba determinada sin ellos.
Este julio, enseñaré SEC545: GenAI y LLM Application Security en SANSFIRE 2026. Este curso cubre cómo se construyen realmente las aplicaciones de IA, cómo funcionan realmente los sistemas de agentes, las superficies de ataque reales que los equipos de seguridad deben comprender y las herramientas y controles disponibles para abordarlos. Esto incluye trabajo práctico con técnicas como el escaneo de modelos para detectar modelos comprometidos antes de que se ejecuten en su entorno. Para los profesionales que quieran abordar los sistemas de IA desde una verdadera base de comprensión, este es el lugar para comenzar.
Haga clic aquí para registrarse en SANSFIRE 2026.
Nota: Este artículo fue escrito y contribuido profesionalmente por Ahmed Abugharbia, un instructor certificado de SANS.
Source link
